Hackeři maskují celé operační systémy jako běžné soubory: nová taktika obcházení antivirů
Kyberzločinci našli způsob, jak skrývat škodlivou aktivitu uvnitř legitimních nástrojů virtualizace. Pomocí QEMU útočníci spouštějí celé operační systémy, které nejsou detekovány standardními bezpečnostními prostředky. Tato technika se již používá v několika kampaních šířících ransomware.
Jak útok s využitím QEMU funguje
QEMU je populární open-source software pro emulaci a virtualizaci. V rukou útočníků se stává mocným nástrojem pro skrývání stop. Místo spouštění škodlivých procesů přímo v napadeném systému hackeři nasazují uvnitř virtuální stroj (VM). Veškerá škodlivá činnost probíhá uvnitř tohoto VM, zatímco na hostiteli zůstávají pouze legitimní procesy QEMU.
Obraz virtuálního disku je maskován jako běžné soubory – například databáze nebo knihovny DLL. Komunikace s velitelským serverem probíhá přes reverzní SSH tunely, což ztěžuje detekci síťových anomálií.
Dvě kampaně: STAC4713 a STAC3725
Odborníci ze Sophos odhalili nejméně dvě samostatné kampaně využívající tuto techniku.
Kampaň STAC4713
V této kampani, aktivní od konce roku 2025, útočníci nasazovali skrytý VM prostřednictvím úlohy TPMProfiler spuštěné s právy SYSTEM. Uvnitř VM byl umístěn kompletní soubor nástrojů pro vzdálený přístup, krádež přihlašovacích údajů a exfiltraci dat. Kampaň je spojena s šířením ransomwaru PayoutsKing. Analytici předpokládají, že za ní stojí skupina GOLD ENCOUNTER, specializující se na útoky na virtualizovanou infrastrukturu (VMware, ESXi).
Kampaň STAC3725
Zahájená v únoru 2026, tato kampaň využívá zranitelnost CitrixBleed2 v NetScaler. Po prolomení hackeři nainstalují škodlivého klienta ScreenConnect, vytvoří lokálního administrátora a spustí QEMU s obrazem Alpine Linux. Na rozdíl od první kampaně jsou nástroje pro průzkum shromažďovány až uvnitř VM: používají se Impacket, BloodHound, Kerbrute, Metasploit a další.
Proč je to nebezpečné: skrytost a dlouhodobý přístup
Hlavní nebezpečí tohoto přístupu spočívá v tom, že škodlivá aktivita nezanechává téměř žádné stopy v hlavním systému. Antiviry a EDR řešení vidí pouze legitimní proces QEMU a nemohou nahlédnout dovnitř virtuálního stroje. To dává útočníkům dlouhý skrytý přístup, usnadňuje laterální pohyb po síti a umožňuje nenápadně připravit útok ransomwarem.
Jak se bránit: doporučení expertů
Sophos doporučuje následující opatření pro detekci těchto útoků:
- Zkontrolovat prostředí na přítomnost neautorizovaných instalací QEMU.
- Monitorovat podezřelé úlohy běžící pod účtem SYSTEM.
- Identifikovat nestandardní přesměrování portů na SSH.
- Všímat si neobvyklých souborů virtuálních disků.
Co je důležité
- Hackeři používají legitimní nástroj QEMU ke spouštění skrytých virtuálních strojů.
- Obrazy VM jsou maskovány jako běžné soubory (databáze, DLL).
- Útoky umožňují obcházet antiviry a EDR a zůstat nezpozorovány.
- Byly odhaleny dvě kampaně: STAC4713 (PayoutsKing) a STAC3725 (CitrixBleed2).
- Doporučuje se monitorovat neautorizované instalace QEMU a podezřelé SSH tunely.
Kontext a důsledky
Použití virtualizace ke skrytí škodlivé aktivity je evolucí taktik kyberzločinců. Dříve se k těmto účelům používaly legitimní systémové nástroje (LOLBins), ale QEMU poskytuje širší možnosti. Očekává se, že počet takových útoků poroste, zejména v podnikových prostředích, kde je virtualizace rozšířená. Společnosti musí přizpůsobit své bezpečnostní strategie, včetně behaviorální analýzy a monitorování na úrovni hypervizoru.
— Editorial Team
Zatím žádné komentáře.